A equipe do Brave anunciou que o navegador focado em privacidade em breve introduzirá novos controles de restrição que permitirão aos usuários especificar por quanto tempo os sites podem acessar os recursos da rede local.
Os recursos hospedados localmente podem incluir imagens ou arquivos necessários ou usados por programas da web no seu dispositivo.
Outros recursos locais podem incluir acesso a dispositivos na sua rede, como instâncias de NAS, servidores hospedados localmente, arquivos de impressoras de rede compartilhados, dados de dispositivos/computadores de rede compartilhados, etc.
É comum que sites e aplicativos web locais solicitem acesso a recursos locais para identificar usuários ou coletar informações sobre o software em execução em um dispositivo do usuário.
"Surpreendentemente, a maioria dos navegadores permite que os sites acessem esses recursos locais tão facilmente quanto podem acessar outros recursos na web", explica o Brave.
Essa prática tem sido documentada desde pelo menos 2020 em sites como eBay, Citibank, Chick-fil-A e muitos outros, como parte de um script anti-fraude usado nos sites associados.
O Brave afirma que todos os principais navegadores modernos, incluindo Chrome e Firefox, permitem que os sites solicitem acesso a recursos locais e os usem sem restrições.
O Safari bloqueia essas solicitações mesmo quando elas vêm de sites públicos seguros, como um efeito colateral de suas medidas de segurança, em vez de uma decisão de design específica para interromper essa prática perigosa.
O Brave está introduzindo uma permissão de acesso a localhost para lidar com esse problema, permitindo que os sites confiáveis acessem recursos locais por um tempo limitado.
"O Brave é o único navegador que bloqueará solicitações a recursos localhost de sites públicos seguros e inseguros, mantendo ao mesmo tempo um caminho de compatibilidade para sites confiáveis", promete a equipe do Brave.
"A partir da versão 1.54 (a atual é v1.52), o Brave para desktop e Android incluirá recursos mais poderosos para controlar quais sites podem acessar recursos da rede local e por quanto tempo".
Por padrão, nenhum site terá permissão para acessar recursos localhost, para que os usuários possam concedê-la manualmente acessando "brave://settings/content/localhostAccess" no desktop ou "Configurações > Configurações do site > Acesso ao localhost" no Android.
Além desse novo mecanismo de permissão, o Brave usará regras de lista de filtros para bloquear scripts e sites que abusam do acesso ao localhost.
Ao mesmo tempo, o Brave manterá e atualizará uma lista de permissões de sites confiáveis que poderão solicitar permissão aos usuários para acessar recursos da rede local em sua primeira visita.
As solicitações de recursos localhost de um contexto localhost ainda serão permitidas sem a necessidade de permissões especiais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...